СВ-Принт

Судебная практика по защите персональных данных

Различные нарушения закона о персональных данных, выписанные предписания Роскомнадзора и протоколы о привлечении к административной ответственности вынуждают юридических лиц прибегать к защите суда. Существующая судебная практика неоднородна, но достаточна интересна. Уже можно говорить, что у судов сложилась единая позиция по поводу тех или иных нарушений закона о защите персональных данных. Споры относятся к разным категориям, и многие из них основываются на неверном понимании гражданами, организациями и государственными органами закона о персональных данных.

Системные споры

Сама система защиты персональных данных уже стала предметом судебного оспаривания. Наиболее интересные споры попадают на рассмотрение Конституционного и Верховного судов, менее системные, но значимые остаются на уровне окружных. Знание практики применения закона судами поможет операторам и частным лицам избежать рисков нарушения закона и понять, что в определенных случаях заручиться судебной защитой будет невозможно.

Так, недавно в Конституционном суде РФ состоялось слушание по вопросам конституционности нормы закона, запрещающей операторам предоставлять обрабатываемые ими персональные данные третьим лицам. Заявитель, обратившийся за информацией о своих коллегах и получивший отказ оператора предоставить персональные данные, обратился в Конституционный суд, сочтя, что такой отказ нарушает его право на защиту, а норма закона является неконституционной. Суд (определение № 1158-О) отказал заявителю, подчеркнув, что право гражданина на защиту информации о своей частной жизни является безусловным.

Существенную часть споров о неправомерном распространении персональных данных составляют споры со средствами массовой информации, часто публикующими информацию о личной жизни граждан. Верховный суд постановил, что Роскомнадзор вправе принять решение о закрытии СМИ, если оно регулярно распространяет информацию о личной жизни граждан и иным образом нарушает законодательство о персональных данных. Так, одна из газет Краснодарского края несколько раз опубликовала не только имя и фамилию несовершеннолетней, но и номер школы, в которой она обучается. После получения письменного предупреждения ведомства публикация персональных данных несовершеннолетних, нарушающая в том числе закон о СМИ, не прекратилась. Решением краевого суда деятельность газеты была прекращена, Верховный суд РФ в Определении № 18-АПГ 15-7 счел нарушение существенным, а это решение правомерным.

Помимо закрытия газеты, за нарушение закона о персональных данных может наступить гражданско-правовая ответственность в виде возмещения морального вреда. Суд по Санкт-Петербургу и Ленинградской области счел нарушением законодательства публикации фотографии гражданина и сведений о нем без получения его согласия на распространение персональных данных. Суд взыскал с газеты «Комсомольская правда» в пользу гражданина моральный ущерб за публикацию его персональных данных.

Предоставление персональных данных по запросу государственных органов также остается камнем преткновения. Закон прямо запрещает их распространение, и иногда операторы, во избежание рисков получения предписания от Роскомнадзора, отказывают в их передаче государственным органам, в том числе и ФАС РФ. В одном из таких случаев ФАС запросила у оператора мобильной связи информацию о владельце телефонного номера, с которого поступали многочисленные рекламные сообщения. За отказ предоставить персональные данные организация была оштрафована. Суд счел, что ФАС действовал в соответствии с законом, а оператор связи обязан был предоставить запрошенные персональные данные.

Такие споры редки, первое разбирательство состоялось в 2016 году, второе – в 2015-м. Чаще встречаются менее значимые, но имеющие практическое значение дела по вопросам неправомерного распространения персональных данных или иным способам их использования.

Важным системным вопросом для организаций и предприятий, принимающих сотрудников на работу и реализующих продукцию через интернет-магазины, стал вопрос о необходимости уведомлять Роскомнадзор о начале деятельности по обработке персональных данных в следующих трех случаях:

• компания обрабатывает персональные данные людей, ищущих работу, а именно: собирает резюме, анализирует их, вносит данные, полученные путем анализа резюме, в свои информационные базы;
• использует специальное программное обеспечение, при помощи которого обрабатывает персональные данные соискателей и работников;
• применяет аналогичные программы для обработки данных клиентов, полученных по телекоммуникационным каналам связи.

Четвертый арбитражный апелляционный суд во всех трех случаях счел, что уведомлять о начале деятельности по обработке персональных данных не надо.

Иные категории споров

Каждый гражданин в обычной жизни сталкивается с ситуацией, в которой он предоставляет свои персональные данные. Это создание личного кабинета в интернет-магазине, заполнение анкеты для получения дисконтной карты, оформление абонемента в бассейн. Иногда при этом заполняется согласие на обработку персональных данных, иногда организации, оказывающие услуги, забывают об этом требовании закона. Мало кто задумывается о том, насколько бережно хранятся, переданные оператору данные. Но одна ситуация постоянно вызывает споры и вопросы. Является ли предоставлением персональных данных предъявление паспорта на кассе магазина и оформление заявления при возврате товара? Суд счел, что нарушением законодательства о персональных данных эта ситуация не является. Ситуация возникла по заявлению гражданина в ФАС РФ, который счел, что внесение паспортных данных в заявление на возврат товара и в приходный ордер является обработкой персональных данных, осуществляемой не в соответствии с требованиями закона. Магазин был оштрафован. Суд не отнес эту ситуацию к неправомерной обработке персональных данных и отменил штраф.

Столь же интересной стала ситуация с фотографиями. Фото как объект, содержащий биометрические сведения, может быть отнесено к персональным данным. В одном из дел было установлено: чтобы использовать фотографию для оформления пропуска в бассейн, необходимо получить согласие гражданина на получение его персональных данных. Если с 2013 года эта ситуация рассматривалась только как спорная позиция Роскомнадзора, и мало кто из организаций воспринимал это как рекомендацию к действию, то после решения суда, ее подтвердившего, в каждой из ситуаций использования фото для оформления пропуска или личного дела придется оформлять согласие на обработку персональных данных.

Достаточно часто при подписании согласия на обработку персональных данных граждане обращают внимание на то, что соглашаются на передачу своих сведений третьим лицам. Далеко не всегда эти третьи лица указываются подробно. Роспотребнадзор очень часто поправлял банки, которые не конкретизировали такие перечни. В последнее время четыре апелляционных суда поддержали позицию Роспотребнадзора, обратив внимание банков на то, что перечень лиц, которым передаются персональные данные, должен быть конкретным.

Но системные проблемы решаются не так часто, как возникают типовые проблемы у медицинских или образовательных учреждений, руководители которых при оказании своих профессиональных услуг не всегда оформляют у клиентов согласие на обработку персональных данных. Так, в одной из клиник Самарской области при проведении медицинских осмотров персональные данные граждан вносились в амбулаторные карты, при этом согласие на такую обработку от них не получалось. За это нарушение мировой суд привлек директора медицинской организации к ответственности по ст. 13.1 КоАП и оштрафовал на 500 рублей. Областной суд полностью согласился с мировым. Таким образом, теперь медицинская организация при оказании любого вида медицинской помощи, при которой получаются для внесения в амбулаторные карты или в отчетность персональные данные пациентов, обязана оформлять согласие.

Если рассматривать практику применения этой нормы по всей стране, можно увидеть, что случаи привлечения к ответственности пока являются единичными и нарушители отделываются минимальными штрафами.

Истцы и ответчики

Вне зависимости от того, как формируется практика, необходимо проанализировать типичных истцов и ответчиков по спорам этих категорий. Существует две категории истцов:

• граждане, считающие свои права на охрану персональных данных и на их получение ущемленными и направляющие иски к организациям;
• государственные органы, отстаивающие свое право на привлечение операторов персональных данных к ответственности.

Юридические лица – операторы персональных данных – обычно выступают в роли ответчиков. Только в спорах о том, в каком случае не нужно производить уведомление Роскомнадзора, они становятся истцами и с успехом выигрывают споры. Если юридическое лицо становится ответчиком по спорам, связанным с персональными данными, то чаще всего оно постоянно взаимодействует с неограниченным кругом физических лиц и не всегда точно соблюдает нормы законодательства о персональных данных, в ряде случаев неправомерно передавая их третьим лицам. Среди таких ответчиков:

• газеты и иные СМИ;
• магазины;
• банки;
• мобильные операторы.

Зачастую аналогичная ситуация становится предметом судебного разбирательства в случае, если на нее обратило внимание частное лицо, и не попадает в поле зрения суда и Роскомнадзора в десятках других случаев, когда требуется согласие на обработку персональных данных. Интересом частного лица часто становится возмещение морального вреда в материальной форме, для него не имеет значения, нормы какого законодательства, о правах потребителя или о защите персональных данных, были нарушены.

Анализируя судебную практику, можно увидеть, что очень часто суды поправляют государственные органы, неверно интерпретирующие свои права. Но столь же часто они встают на защиту интересов граждан и охрану тайны их личной жизни, запрещая неправомерное распространение персональных данных.

Персональные данные: кому и как доступно их разглашение?

Ответное обращение

Разглашение информации третьим лицам

К персональным данным относится информация, имеющая непосредственное отношение к физическому лицу. Под предоставлением этих данных подразумеваются действия, направленные на выдачу подобной ограниченной информации одному или нескольким лицам.

Получение подобного запроса может произойти как от организаций, представляющих трудовое законодательство (налоговые органы, пенсионный фонд и т.д), так и от представителей полиции или прокуратуры. Последний случай объясняется участием в уголовном или административном процессе. При этом согласие гражданина на предоставление этих сведений не требуется.

Правила рассмотрения обращений от субъектов или их представителей

Рассмотрение названных обращений называется — регламентом по реагированию на запросы субъектов персональных данных или их представителей и занимается ими начальник, заместитель или уполномоченное должностное лицо, в число обязанностей которых входит обработка персональных сведений. Данные должностные лица обеспечивают:

1. Своевременное, объективное и всестороннее рассмотрение документа.
2. Отправку ответов в письменной форме по существу запроса.
3. Принятие мер для восстановления или защиты нарушенных прав и интересов субъекта.
4. Все поступающиеся запросы фиксируются в день поступления. На бумагах ставится штамп с указанием даты и входящего номера.

Документ прочитывается и проверяется на повторность. В некоторых случаях сверяется с прошлой перепиской (если таковая есть). При наличии обращений в прошлом, запрос может быть повторен спустя 30 дней после последнего обращения.

После прохождения регистрации запросы отправляются руководителю компании или его заместителю, которым определяется срок и порядок рассмотрения. После чего даются указания исполнителям.

Во время рассмотрения запроса должностным лицам следует:

1. Разобраться в существе требования, при необходимости попросить дополнительные данные или отправить работников для проверки информации, изложенной в поступившем документе, принять иные меры для решения поставленных вопросов, обнаружения и устранения причин и условий, вызвавших нарушение закона о ПД.
2. Принимать законные и обоснованные решения, а также обеспечить качественное и своевременное их выполнение.
3. Уведомлять письменно заявителей о принятых решениях, ссылаясь на законодательство РФ. При отклонении запроса – объяснить порядок обжалования полученного результата.
4. Организация должна уведомить субъект или официального представителя о наличии информации о персональных данных данного гражданина, и предоставить право ознакомления со сведениями, при обращении в течении месяца с даты получения запроса.

При отказе в предоставлении указанной в обращении информации о выбранном субъекте, уполномоченные должностные лица должны предоставить мотивированный ответ в письменной форме со ссылкой на часть 8 ст. 14 Федерального закона или иного закона, который может послужить основание для отказа, в течении 30 дней со дня обращения или с даты получения запроса.

Кому можно предоставлять личные сведения?

Получить названные сведения на основе законодательства имеют право:

• Фонд социального страхования РФ.
• Налоговые органы.
• Федеральная инспекция труда.
• Пенсионный фонд РФ.
• Иные органы государственного контроля и надзора за выполнением трудового законодательства.

В этих случаях не требуется получения нового согласия со стороны субъекта, кроме того, что было предоставлено работодателю.

Предлагаем ознакомиться с категориями персональных данных, к числу которых относятся биометрические, общедоступные и другие.

Имеют ли право их запрашивать определенные органы и какие?

В пункте выше уже были указаны организации, которые по закону имеют право на получение информации. Однако существуют другие лица и организации, которые могут затребовать персональные сведения.

Адвокаты

Названные лица имеют право запрашивать любые данные, значимые для дела:

• Справки от уполномоченных лиц.
• Сведения о деятельности гражданина.
• Характеристики.

Но не вся информация подлежит разглашению. Адвокат может получить отказ в следующих случаях:

• Лицо, к которому поступил запрос, не обладает этими документами.
• Нарушены требования по форме запроса.
• Сведения имеют ограниченный доступ (коммерческие, государственные или личные тайны).

Также адвокат не имеет права требовать информацию о персональных данных, за исключением случаев, когда на это дается официальное согласие.

Сотрудники полиции

В соответствии с п.4 ч.1 ст.13 Федерального закона от 07.02.2011 «О Полиции», сотрудник имеет право при расследовании уголовных дел или административных правонарушений, а также при проверке заявлений о возможных нарушениях, запрашивать и получать персональные данные граждан на безвозмездной основе. Подобные обращения должны быть мотивированы. При передаче этих персональных данных работникам полиции по их запросу, согласие самих граждан не нужно.

Следователи прокуратуры

В федеральном законе от 23.07.2013 № 205 статья 1 «О прокуратуре РФ» была дополнена пунктом, который расширяет права организации на получение доступа к информации, в число которой входят и персональные сведения. Обработка поступивших данных в установленных законом РФ случаях проводится органами прокураторы из-за осуществления прокурорского надзора.

Это документ должен составляться в соответствии с Федеральным законом № 152-ФЗ «О персональных данных». В документе следует указать следующую информацию:

• ФИО субъекта, сведения о котором необходимо предоставить, или его официального представителя.
• Номер документа, удостоверяющего личность человека, дата получения и орган, который его выдал.
• Дата написания запроса и подпись 3-й стороны, т.е тех от кого он исходит.

Составление документа выполняется по следующему алгоритму:

1. Прописывается шапка запроса (с указанием того, кто направляет документ и его идентификационные данные).
2. Кому предназначается данный запрос (наименование и адрес организации).
3. Содержание (указываются причины, по которым требуется предоставить выбранные сведения и их обоснование в соответствии с фактами и законодательством).
4. Подпись и печать отправляющего органа.

• Скачать бланк запроса персональных данных 3-й стороны
• Скачать образец запроса персональных данных 3-й стороны

Ответное обращение

В ответ на поступивший запрос требуется составить ответное обращение, в котором должна содержаться следующая информация:

1. Название органа, от которого поступил запрос.
2. Наименование и адрес оператора.
3. Гражданство сотрудника, чьи данные были затребованы.
4. ФИО, паспортные данные субъекта, адрес регистрации.
5. Занимаемая должность.
6. Сведения о трудовой деятельности в соответствии с отметками в трудовой книге (прилагаемые номера приказов также записываются).

• Скачать бланк ответного обращения на запрос персональных данных
• Скачать бланк ответного обращения на запрос персональных данных

Во время отправления ответа нельзя нарушать конфиденциальность передаваемой информации, поэтому бланк с соответствующими сведениями должен заполняться и отправлять уполномоченным лицом – оператором.

Получить персональную информацию могут многие законодательные органы без предварительного разрешения со стороны субъекта. Причиной этому может служить участие в уголовном или административном процессе. Также многие организации, связанные с трудовым законодательством, имеют право запрашивать эти данные у работодателя.

Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

Подготовлена редакция документа с изменениями, не вступившими в силу 27 июля 2006 года N 152-ФЗ
РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ Принят Государственной Думой 8 июля 2006 года Одобрен Советом Федерации 14 июля 2006 года

(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ от 23.12.2010 N 359-ФЗ, от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ, от 05.04.2013 N 43-ФЗ, от 23.07.2013 N 205-ФЗ, от 21.12.2013 N 363-ФЗ, от 04.06.2014 N 142-ФЗ, от 21.07.2014 N 216-ФЗ, от 21.07.2014 N 242-ФЗ, от 03.07.2016 N 231-ФЗ, от 22.02.2017 N 16-ФЗ, от 01.07.2017 N 148-ФЗ, от 29.07.2017 N 223-ФЗ, от 31.12.2017 N 498-ФЗ) (см. Обзор изменений данного документа)

• Глава 1. Общие положения
• Статья 1. Сфера действия настоящего Федерального закона
• Статья 2. Цель настоящего Федерального закона
• Статья 3. Основные понятия, используемые в настоящем Федеральном законе
• Статья 4. Законодательство Российской Федерации в области персональных данных
• Глава 2. Принципы и условия обработки персональных данных
• Статья 5. Принципы обработки персональных данных
• Статья 6. Условия обработки персональных данных
• Статья 7. Конфиденциальность персональных данных
• Статья 8. Общедоступные источники персональных данных
• Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
• Статья 10. Специальные категории персональных данных
• Статья 11. Биометрические персональные данные
• Статья 12. Трансграничная передача персональных данных
• Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
• Глава 3. Права субъекта персональных данных
• Статья 14. Право субъекта персональных данных на доступ к его персональным данным
• Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
• Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
• Статья 17. Право на обжалование действий или бездействия оператора
• Глава 4. Обязанности оператора
• Статья 18. Обязанности оператора при сборе персональных данных
• Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
• Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
• Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
• Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
• Статья 22. Уведомление об обработке персональных данных
• Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
• Глава 5. Государственный контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
• Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
• Статья 24. Ответственность за нарушение требований настоящего Федерального закона
• Глава 6. Заключительные положения
• Статья 25. Заключительные положения

Открыть полный текст документа

Прокуратура запрашивает документы,

ПРАВОМЕРНО, КАК СВЯЗАННОЕ С ОСУЩЕСТВЛЕНИЕМ ПРОКУРОРСКОГО НАДЗОРА.

Определение СК по административным делам Верховного Суда РФ от 30 марта 2011 г. N 16-Впр 11-3.

«…Отказывая в удовлетворении заявления, суд первой инстанции, руководствуясь частью 1 статьи 21, частью 1 статьи 22 Федерального закона «О прокуратуре Российской Федерации» от 17 января 1992 г. N 2202-1, статьей 1, пунктом 2 статьи 4 Федерального закона «О службе в таможенных органах Российской Федерации» от 21 июля 1997 г. N 114-ФЗ, пунктом 6 части 1 статьи 42 Федерального закона «О государственной гражданской службе Российской Федерации» от 27 июля 2004 г. N 79-ФЗ, статьей 3 Федерального закона «О персональных данных» N 152-ФЗ от 27 июля 2006 г., статьями 86, 88 Трудового кодекса Российской Федерации, пришел к выводу о том, что предоставление персональных данных сотрудников таможенных органов по запросу прокурора, а также представление прокурору для ознакомления личных дел сотрудников таможни без их согласия, законом не предусмотрено.

С таким выводом согласилась и судебная коллегия по гражданским делам Волгоградского областного суда.

Судебная коллегия по административным делам Верховного Суда Российской Федерации находит данный вывод судебных инстанций постановленным на ошибочном толковании норм материального права, без учета следующих положений действующего законодательства, вступившего в силу после приведенных выше законов…

Из системного толкования приведенных правовых норм, которые не были приняты во внимание судебными инстанциями при рассмотрении настоящего гражданского дела, следует, что органы прокуратуры, реализуя полномочия по надзору за исполнением Федерального закона от 25 декабря 2008 года N 273-ФЗ, вправе затребовать информацию, необходимую для выявления и устранения нарушений закона.

Приведенные нормы права и фактические обстоятельства дела свидетельствуют о соответствии требований Волгоградского транспортного прокурора действующему законодательству…»

Статья 7. Конфиденциальность персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

(п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ)

Федеральный закон от 17.01.1992 N 2202-1

(ред. от 21.07.2014)

«О прокуратуре Российской Федерации»

Статья 22. Полномочия прокурора

1. Прокурор при осуществлении возложенных на него функций вправе:

по предъявлении служебного удостоверения беспрепятственно входить на территории и в помещения органов, указанных в пункте 1 статьи 21 настоящего Федерального закона, иметь доступ к их документам и материалам, проверять исполнение законов в связи с поступившей в органы прокуратуры информацией о фактах нарушения закона;

требовать от руководителей и других должностных лиц указанных органов представления необходимых документов, материалов, статистических и иных сведений; выделения специалистов для выяснения возникших вопросов; проведения проверок по поступившим в органы прокуратуры материалам и обращениям, ревизий деятельности подконтрольных или подведомственных им организаций;

вызывать должностных лиц и граждан для объяснений по поводу нарушений законов.

2. Прокурор или его заместитель по основаниям, установленным законом, возбуждает производство об административном правонарушении, требует привлечения лиц, нарушивших закон, к иной установленной законом ответственности, предостерегает о недопустимости нарушения закона.

(в ред. Федеральных законов от 10.02.1999 N 31-ФЗ, от 05.06.2007 N 87-ФЗ)

(см. текст в предыдущей редакции)